Что предлагает обновленная SIEM HP ArcSight?
В начале статьи мы бы хотели привести несколько интересных фактов из мира информационной безопасности1:
- 416 дней – среднее время, требуемое для обнаружения нарушения в системе безопасности.
- 56% организаций, работающих по всему миру, подвергались кибератакам.
- Сегодня все больше приложений развертываются и интегрируются за пределами брандмауэра компании.
- В 44% случаев утечка данных происходит по вине третьих лиц или из-за ошибок в каналах передачи.
- Хакеры – это лица преследующие конкретную цель, например, кражу IP-адресов, почтовой переписки, нанесение ущерба бренду или сбор информации о клиентах.
- Несоблюдение требований PCI стоит от $5000 до $500000 (банки или компании, занимающиеся выпуском кредитных карт).
- 60% компаний во всем мире тратят больше времени и денег на устранение инцидентов, чем на проактивное управление рисками.
В свете всего этого очевидно, что информационная безопасность бизнеса уже давно стала базовой потребностью. Платформа HP ArcSight ключевым элементом системы информационной безопасности в современной корпоративной среде. Это хорошо масштабируемое решение для мониторинга угроз безопасности в неограниченных сетевых средах, которое позволяет справляться с рисками, актуальными для любых организаций – от крупных корпораций до компаний среднего и малого бизнеса. Решение дает возможность в любое время собирать и накапливать данные журналов и сведения о системах безопасности, поступающие с устройств любых типов и любых производителей. HP ArcSight сопоставляет системные события, потоки информации, действия пользователей и приложений. Поэтому можно всегда иметь достоверные сведения о том кто, что, где, когда и как делает и что произошло либо происходит сейчас в вашей организации.
HP ArcSight позволяет мгновенно определять все действия, выполняемые в сети, обнаруживать атаки «нулевого дня» и контролировать их распространение, отслеживать доступ к базам данных с конфиденциальными сведениями, осуществлять контроль за действиями ключевых пользователей, выполнять мониторинг критически важных приложений или сервисов и обеспечивать соблюдение нормативных требований. Вы будете видеть тенденции и взаимосвязи и сможете получить необходимую информацию для своевременного и надлежащего реагирования. Реагирование может производиться как в ручном, так и в автоматизированном режиме.
Архитектура решения HP ArcSight (один из вариантов)
Каждый из элементов архитектуры выполняет следующие функции:
Connector – сбор событий из любых систем и приложений. Передает сырые или нормализированные и классифицированные события для качественного анализа в Logger или ESM/Express.
Logger – консолидация и длительное хранения собранной информации. Хранит данные до нескольких лет, позволяет быстро и удобно искать нужную информацию при сжатии до 10:1, может передавать ее по запросу в ESM/Express. ESM/Express – корреляция событий, в том числе в режиме реального времени. Существует несколько вариантов разворачивания комплекса, но наиболее часто используемые это:
- Только Logger – для хранения информации, необходимой при расследовании инцидентов и соответствия стандарту PCI DSS.
- Только ESM/Express – для распознавания угроз и обнаружения аномалий.
- Комбинация Logger + ESM – для реализации комплексной защиты информации и управления событиями.
В течение последних нескольких месяцев произошли серьезные обновления в линейке продуктов HP ArcSight. Ниже приведен список основных нововведений:
HP ArcSight Logger 6.0
- Улучшен алгоритм поиска, позволяющий ускорить поиск до 1000 раз.
- Увеличена производительность.
- Добавлена поддержка Big Data.
- Использован новый интерфейс WEB 2.0.
- Графический интерфейс (GUI) такой же как у ESM.
- Добавлена поддержка RHEL 6.5, Firefox 30 ESR, IE 10 и IE 11.
- Поддерживается работа через мобильные устройства.
ESM 6.8с
- Реализована отказоустойчивость (High Availability) в режиме Active-Passive.
- Увеличена скорость поиска и обработки запросов до 1000 раз по сравнению с предыдущей версией.
- Улучшена работа корреляционных правил.
- Добавлен контент для отчетности (новые отчеты и панели).
- Поддерживаются хранилища до 12 TB.
- Используется Java 7
- Может быть развернут на RHEL 6.4, 6.5 и CentOS 6.5
Такие изменения позволяют компании НР удерживать лидирующие позиции среди производителей SIEM-систем. Для практического ознакомления с изменениями в продуктах HP ArcSight компания «СВIТ IТ» провела двухдневный обзорный тренинг для инженеров крупнейших компаний Украины, а в ближайшее время запланирована серия вебкастов по модулям ESM. Следите за анонсами на сайте компании и в рассылке. «Наши инженеры всегда готовы оказать квалифицированную помощь в переходе на новые версии продуктов и помочь внедрить такие актуальные модули, как IdentityView и Reputation Security Monitor» – отмечает директор компании «СВIТ IТ» Ковалев Игорь Геннадиевич.
1 Внутренние данные HP, Forrester Research, Ponemon Institute, Coleman Parkes Research, focusonpci.com/site/index.php/PCI-101/pci-noncompliant-consequences.html, Tom Pisello, blog.alinean.com/2013/09/more-stakeholders-and-business.html